近来，美国网络安全公司SourceDNA称，有256个运用有米SDK的APP因“收集用户自个数据”而遭苹果下架。有米随即回答称从未收集任何直接的自个身份识别信息，SDK插件仅仅用于“帮助广告主、开发者防做弊。”而据360团队数据：截止11月3日，共有1035个App遭到有米SDK的影响，受影响App主要会集在游戏和教育类。

　　有米官网当天便贴出了回答

　　接到SourceDNA的陈述后，苹果方面给出回答：“咱们发现一批App涉嫌运用私人API收集用户自个信息，包括邮件地址、设备认证信息以及路由数据，而这些App都运用了有米开发的第三方广告SDK。此行动违反了咱们的安全和隐私原则，凡运用有米SDK的App均将做下架处理，新App假如运用了该SDK也将遭到回绝。”

　　更多App忧虑的是：ASO、App间技能对接会不会触犯苹果的底线?八妹首要带我们了解一下两个概念：防做弊SDK、私有API。

　　何为API?

　　API全称是Application Programming Interfaces，译为运用程序编程接口。它是用于办理运用程序之间数据沟通、功用完成的规范化沟通方法。App能经过它完成对硬件的控制或与其它App的互动协作，如将一首音乐共享到微信朋友圈。而私有API指的是在苹果开发文档中没有供给的、可能会被AppStore拒接的编程接口。

　　近年来，由于移动广告投进过程中衍生的做弊行动层出不穷，一些广告渠道强化了SDK防做弊模块，增加更多设备验证的信息。所谓的防做弊的SDK一般也需要调集私有的API。可是，私有API技能并不是老练和通用的开发者手法，苹果无法控制其读取用户信息的内容，因而，苹果一般不答应APP运用私有API。而由于调用私有API而在审核中遭到回绝的景象并不罕见。

　　而SDK本身也会存在着安全要挟，除了会获取用户隐私信息，如收集设备ID、获取用户方位信息外，还存在着更严峻的安全问题。比方某些SDK具有自动接纳服务器指令的功用，它会根据需要收集短信、通话记录和联系人等灵敏信息。

　　无辜的APP开发者：仅仅跟人协作用了个SDK就被下架了

　　SourceDNA的陈述中表明，这次被拖累下架的app对此并不知情，由于开发包是以二进制代码的方法供给给开发者，收集到的用户信息也并未上载到移动软件的后台，而是上载到了有米广告渠道的服务器上。但媒体报道的标题都是这样：“国产APP被苹果下架:山寨运用涉嫌盗取隐私信息”、“苹果下架250余款运用涉嫌收集用户隐私”……不了解底细的读者很容易误读是运用开发者盗取用户隐私。

　　这次下架风云让不少App成为草木惊心，短时间内不敢做协作推行，特别是触及技能对接的协作行动。如何承认自个不会在苹果规矩中成为受殃池鱼，八妹觉得小白推行者们本来可以简单从以下几个方面考量：

　　区分方法1：是不是需要在你的App内植入SDK?

　　首要抓基本概念，没有SDK嵌入式协作的行动目前都是安全的，必定不会触及到收集用户信息上载。如友钱(iyouqian.com)类的广告渠道对接，是渠道本身经过IDFA对用户做标记过滤，这类正常的对接归于苹果答应范围内。

　　区分方法2：是不是有DMP渠道进行用户信息上载和剖析?

　　DMP的全称是Data-Management Platform，译为数据办理渠道。是许多广告渠道的价值门槛地点，数据办理渠道可以帮助一切触及广告库存购买和出售的各方办理其数据、更方便地运用第三方数据、增强他们对一切这些数据的了解、传回数据或将定制数据传入某一渠道，以进行非常好地定位。假如你的协作方对DMP渠道有所建树，就要对SDK的内容做一些沟通了解，承认其是不是有上载苹果不答应读取的用户信息内容。

　　区分方法3：协作方拜访了你的哪些内容?

　　在对接过程中，了解对方的拜访需要，以及是啥内容会被你家APP上载到对方的服务器上?以友钱(iyouqian.com)为例，对接过程中主要是和CP的服务端发送请求，随后由CP的后台对信息进行盯梢，不会去影响客户的服务端安全。